Suchen und Löschen von E-Mail-Nachrichten in Ihrer Office 365-Organisation

Mit der Inhaltssuche in Office 365 können Sie alle Postfächer Ihrer Organisation nach E-Mails durchsuchen und diese löschen. Die Funktion ist hilfreich beim Suchen und Entfernen potenziell schädlicher oder riskanter E-Mails, beispielsweise:

  • Nachrichten, die gefährliche Anlagen oder Viren enthalten

  • Phishingnachrichten

  • Nachrichten, die vertrauliche Daten enthalten

Verfahren Sie wie folgt, um diese Nachrichten zu suchen und zu entfernen:

Schritt 1: Erstellen einer Inhaltssuche, um die zu löschende Nachricht zu suchen

Schritt 2: Herstellen einer Verbindung mit dem Security & Compliance Center mithilfe von Remote-PowerShell

Schritt 3: Löschen der Nachricht

Im Abschnitt Weitere Informationen erfahren Sie, wie mit gelöschten Nachrichten weiter verfahren wird und wie Sie den Status eines Such- und Löschvorgangs abrufen.

Achtung : Die Such- und Löschfunktion ist ein leistungsfähiges Feature. Sie ermöglicht es jedem mit den erforderlichen Berechtigungen, E-Mail-Nachrichten aus den Postfächern Ihrer Organisation zu löschen.

Vorbemerkung

  • Zum Erstellen und Ausführen einer Inhaltssuche müssen Sie der Rollengruppe "eDiscovery-Manager" angehören oder über die Verwaltungsrolle "Compliancesuche" verfügen. Zum Löschen von Nachrichten müssen Sie der Rollengruppe "Organisationsverwaltung" angehören oder über die Verwaltungsrolle "Suchen und Löschen" verfügen. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Gewähren des Zugriffs auf das Office 365 Compliance Center.

  • Ihre Organisation muss über Windows PowerShell mit dem Security & Compliance Center verbunden sein, damit Nachrichten gelöscht werden können. In Schritt 2 wird das Verfahren erläutert.

  • Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da das Tool zum Suchen und Entfernen von Nachrichten die Möglichkeit bieten soll, auf Vorfälle zu reagieren, stellt dieser Grenzwert sicher, dass Nachrichten schnell aus Postfächern entfernt werden. Das Feature ist nicht zum Bereinigen von Benutzerpostfächern vorgesehen.

Schritt 1: Erstellen einer Inhaltssuche, um die zu löschende Nachricht zu suchen

Im ersten Schritt wird eine Inhaltssuche erstellt und ausgeführt, um die Nachricht zu suchen, die Sie aus den Postfächern Ihrer Organisation entfernen möchten. Sie können die Suche erstellen, indem Sie das Security & Compliance Center verwenden oder das New-ComplianceSearch-Cmdlet und Start-ComplianceSearch-Cmdlet ausführen. Die Nachrichten, die der Abfrage für diese Suche entsprechen, werden durch Ausführen des New-ComplianceSearchAction-Cmdlets in Schritt 3 gelöscht. Informationen zum Erstellen einer Inhaltssuche und zum Konfigurieren von Suchabfragen finden Sie unter den folgenden Themen:

Tipps zum Suchen von Nachrichten, die entfernt werden sollen

Das Ziel der Suchabfrage besteht darin, die Suchergebnisse auf die zu entfernenden Nachrichten zu beschränken. Hier sind einige Tipps:

  • Wenn Sie den genauen Text oder Wortlaut in der Betreffzeile der Nachricht kennen, verwenden Sie die Subject-Eigenschaft in der Suchabfrage.

  • Wenn Sie das genaue Datum (bzw. den genauen Datumsbereich) der Nachricht kennen, schließen Sie die Received-Eigenschaft in die Suchabfrage ein.

  • Wenn Sie den Absender der Nachricht kennen, schließen Sie die From-Eigenschaft in die Suchabfrage ein.

  • Zeigen Sie die Suchergebnisse in der Vorschau an, um sicherzustellen, dass die Suche nur die Nachricht(en) zurückgegeben hat, die Sie löschen möchten.

  • Verwenden Sie die (im Detailbereich der Suche im Security & Compliance Center oder bei Verwendung des Get-ComplianceSearch-Cmdlets angezeigten) statistischen Daten der Suchschätzung, um die Gesamtanzahl der Ergebnisse zu ermitteln.

Hier zwei Abfragebeispiele zum Suchen verdächtiger E-Mail-Nachrichten

  • Diese Abfrage gibt Nachrichten zurück, die zwischen dem 13. April 2016 und 14. April 2016 von Benutzern empfangen wurden und in der Betreffzeile die Wörter "action" und "required" enthalten.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  • Diese Abfrage gibt von "chatsuwloginsset12345@outlook.com" gesendete Nachrichten zurück, die in der Betreffzeile den genauen Wortlaut "Update your account information" enthalten.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Seitenanfang

Schritt 2: Herstellen einer Verbindung mit dem Security & Compliance Center mithilfe von Remote-PowerShell

Im ersten Schritt wird Windows PowerShell mit dem Security & Compliance Center für Ihre Organisation verbunden.

  1. Speichern Sie den folgenden Text in einer Windows PowerShell-Skriptdatei, und verwenden Sie das Dateinamensuffix ".ps1", z. B. "ConnectSCC.ps1".

    # Get login credentials 
    $UserCredential = Get-Credential 
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid -Credential $UserCredential -Authentication Basic -AllowRedirection 
    Import-PSSession $Session -AllowClobber -DisableNameChecking 
    $Host.UI.RawUI.WindowTitle = $UserCredential.UserName + " (Office 365 Security & Compliance Center)" 
    
  2. Öffnen Sie Windows PowerShell auf dem lokalen Computer, wechseln Sie zu dem Ordner, in dem sich das im vorherigen Schritt erstellte Skript befindet, und führen Sie dann das Skript aus. Beispiel:

    .\ConnectSCC.ps1

Schritt 3: Löschen der Nachricht

Nachdem Sie eine Inhaltssuche erstellt und so eingeschränkt haben, dass die zu entfernende Nachricht zurückgegeben wird, und über Remote-PowerShell mit dem Security & Compliance Center verbunden sind, führen Sie im letzten Schritt das New-ComplianceSearchAction-Cmdlet aus, um die Nachricht zu löschen. Gelöschte Nachrichten werden in den Ordner "Wiederherstellbare Elemente" eines Benutzers verschoben.

Im folgenden Beispiel werden die durch eine Inhaltssuche mit dem Namen "Remove Phishing Message" zurückgegebenen Suchergebnisse durch den Befehl gelöscht.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Seitenanfang

Weitere Informationen

  • Was geschieht nach dem Löschen einer Nachricht?      Eine mit dem Befehl New-ComplianceSearchAction -Purge -PurgeType SoftDelete gelöschte Nachricht wird in den Ordner "Löschvorgänge" innerhalb des Ordners "Wiederherstellbare Elemente" des Benutzers verschoben. Sie wird nicht sofort aus Office 365 gelöscht. Der Benutzer kann Nachrichten im Ordner "Gelöschte Elemente" so lange wiederherstellen, wie der für das Postfach konfigurierte Aufbewahrungszeitraum für gelöschte Elemente dauert. Nach Ablauf dieses Aufbewahrungszeitraums (oder wenn der Benutzer die Nachricht vor dem Ablauf löscht) wird die Nachricht in den Ordner "Löschungen" verschoben, und der Benutzer kann nicht mehr darauf zugreifen. Sobald sie sich im Ordner "Löschungen" befindet, wird die Nachricht erneut für die Dauer des Aufbewahrungszeitraums für gelöschte Elemente beibehalten, die für das Postfach konfiguriert wurde, vorausgesetzt, die Wiederherstellung einzelner Elemente ist für das Postfach aktiviert. (In Office 365 wird die Wiederherstellung einzelner Elemente beim Erstellen eines neuen Postfachs standardmäßig aktiviert.) Nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente wird die Nachricht für die endgültige Löschung gekennzeichnet und aus Office 365 gelöscht, sobald das Postfach das nächste Mal vom Assistenten für verwaltete Ordner verarbeitet wird.

  • Wie lässt sich feststellen, ob Nachrichten gelöscht und in den Ordner "Wiederherstellbare Elemente" des Benutzers verschoben wurden?      Wenn Sie nach dem Löschen einer Nachricht dieselbe Inhaltssuche ausführen, erhalten Sie weiterhin die gleiche Anzahl von Suchergebnissen (und könnten vermuten, dass die Nachricht nicht aus den Benutzerpostfächern gelöscht wurde). Dies liegt daran, dass bei der Inhaltssuche der Ordner "Wiederherstellbare Elemente" durchsucht wird, in den die gelöschte Nachricht verschoben wird, nachdem Sie den Befehl New-ComplianceSearchAction -Purge -PurgeType SoftDelete ausgeführt haben. Um zu überprüfen, ob Nachrichten in den Ordner "Wiederherstellbare Elemente" verschoben wurden, können Sie eine In-Situ-eDiscovery-Suche (mit denselben Quellpostfächern und Suchkriterien wie bei der in Schritt 1 erstellten Inhaltssuche) ausführen und die Suchergebnisse in das Discoverypostfach kopieren. Dann können Sie die Suchergebnisse im Discoverypostfach anzeigen und feststellen, ob die Nachrichten in den Ordner "Wiederherstellbare Elemente" verschoben wurden. Unter Verwenden der Inhaltssuche in Ihrem eDiscovery-Workflow finden Sie ausführliche Informationen zum Erstellen einer In-Situ-eDiscovery-Suche, bei der die Liste der Quellpostfächer und die Suchabfrage einer Inhaltssuche verwendet werden.

  • Was geschieht, wenn eine Nachricht aus einem Postfach gelöscht wird, das sich im In-Situ-Speicher befindet oder für das ein Beweissicherungsverfahren aktiviert wurde?      Nachdem die Nachricht (vom Benutzer oder durch Ablauf des Aufbewahrungszeitraums für gelöschte Elemente) gelöscht wurde, wird sie für die Dauer des Aufbewahrungszeitraums beibehalten. Wenn die Dauer unbegrenzt ist, werden die Elemente beibehalten, bis die Aufbewahrungsdauer entfernt oder geändert wird.

  • Wie wird der Status des Such- und Entfernungsvorgangs abgerufen?      Führen Sie Get-ComplianceSearchAction aus, um den Status des Löschvorgangs abzurufen. Beachten Sie, dass das beim Ausführen des New-ComplianceSearchAction-Cmdlets erstellte Objekt nach folgendem Format benannt wird: <name of Content Search>_Purge.

  • Warum ist der Workflow zum Suchen und Entfernen auf verschiedene Security & Compliance Center-Rollengruppen aufgeteilt?      Wie bereits erläutert, muss ein Benutzer der Rollengruppe "eDiscovery-Manager" angehören oder über die Verwaltungsrolle "Compliancesuche" verfügen, um Postfächer zu durchsuchen. Zum Löschen von Nachrichten muss ein Benutzer der Rollengruppe "Organisationsverwaltung" angehören oder über die Verwaltungsrolle "Suchen und Löschen" verfügen. Dadurch kann gesteuert werden, wer Postfächer in der Organisation durchsuchen und wer Nachrichten löschen darf.

Seitenanfang

Teilen Facebook Facebook Twitter Twitter E-Mail E-Mail

War diese Information hilfreich?

Sehr gut. Noch anderes Feedback?

Was können wir verbessern?

Vielen Dank für Ihr Feedback!

×